25.7.2017 09:46 | MobilMania
Odporúčame

Slabina v overovaní cez SMS: Nedbalosť môže sprístupniť cudzie účty

Zdroj: Shutterstock.com

Overenie cez SMS nie je dokonalé. Problémom je opätovné používanie čísiel aj neinformovanosť používateľov.

Programátor James Martindale upozornil na závažný problém týkajúci sa overovania cez SMS správy. Zistil, že sa dá veľmi ľahko získať kontrola nad cudzím účtom. Stačí k tomu znovu pridelené telefónne číslo a malá dávka šťastia.

Vo svojom výskume sa síce zameral na sociálnu sieť Facebook, no rovnaký mechanizmus útoku sa dá aplikovať prakticky do všetkých služieb využívajúcich SMS autentifikáciu. Bližšie Informácie o hrozbe zverejnil server HackRead.

Overenie cez SMS ako zbraň

Súčasťou registrácie do mnohých internetových služieb je (okrem iného) aj vyplnenie a overenie telefónneho čísla. Vďaka tomu je možné aktivovať dvojfaktorovú autentifikáciu alebo obnoviť prístup do účtu v prípade zabudnutého hesla.

fotogaléria
Ilustračná snímka (zdroj: Shutterstock.com) Zdroj: Shutterstock.com

Problémy však môžu nastať vtedy, ak si používateľ zmení telefónne číslo, respektíve ho prestane využívať. Ak si totiž staré číslo neodstránite z nastavení, môže váš účet jednoducho prevziať cudzia osoba.

Problémom sú recyklované čísla

Mechanizmus útoku, ktorý popísal Martindale je založený na dvoch predpokladoch. Staré telefónne číslo používateľa musí byť takpovediac recyklované. To znamená, že telekomunikačný operátor začne opäť ponúkať číslo, ktoré už v minulosti patrilo inej osobe.

Čítajte aj Pozor na volania z neznámych čísel, varujú operátori. Je to podvod

Pokiaľ to číslo pôvodný majiteľ mal prepojené s niektorým z online účtov, existuje veľká pravdepodobnosť, že recyklované telefónne číslo bude naďalej prepojené s používateľským účtom pôvodného majiteľa čísla.

Nový vlastník čísla môže následne spustiť proces obnovy hesla do cudzieho konta. Mnohé online služby, medzi nimi aj Facebook, totiž ponúkajú možnosť prihlásenia prostredníctvom e-mailu alebo telefónneho čísla.

Potenciálnemu útočníkovi stačí vyplniť telefónne číslo a nechať si zaslať overovaciu SMS správu. Systém autorizuje používateľa a reálny majiteľ konta stráca nad ním kontrolu.

S novým číslom mohol ovládnuť cudzí účet

Martindale vykonal experiment, počas ktorého si zakúpil úplne novú SIM kartu. Svoje nové telefónne číslo následne zadal do formuláru „Nájdite svoj účet“. Sociálna sieť mu podľa očakávaní okamžite ponúkla možnosť zresetovať heslo a získať tým prístup do konta cudzej osoby.

fotogaléria
Recyklované číslo umožnilo zresetovať heslo cudzej osobe (zdroj: James Martindale) Zdroj: James Martindale

Aby toho nebolo málo, programátor našiel VoIP operátora, ktorý ponúka zmenu telefónneho čísla iba za päť dolárov (po prepočte 4,30 eura). Dostupné čísla sú pritom prehľadne zobrazené, takže si môže útočník vopred overiť, ktoré z nich sú pripojené k cudzím účtom. Napokon ich stačí zakúpiť.

fotogaléria
Za symbolický poplatok si môžete vybrať číslo (zdroj: James Martindale) Zdroj: James Martindale

V konečnom dôsledku je tento trik mimoriadne jednoduchý, no pritom veľmi efektívny. Hackerom by mohli odcudzené účty poslúžiť na realizáciu phishingových kampaní, na šírenie škodlivých kódov alebo by ich mohli predávať na čiernom trhu.

Staré čísla odstráňte zo služieb

Spoločnosť Facebook bola na uvedenú hrozbu riadne upozornená. Opodstatnene ju však vylúčila zo svojho odmeňovacieho programu Bug Bounty s odôvodnením, že sociálna sieť nemá kontrolu nad poskytovateľmi telekomunikačných služieb. Ide totiž o logický problém plynúci z recyklácie čísiel.

Používateľom tak nezostáva nič iné, iba dbať na svoju vlastnú bezpečnosť. Na zmenu telefónneho čísla preto treba upozorniť nielen rodinu či priateľov, ale napríklad aj banky. Okrem toho by ste mali odstrániť staré číslo z nastavení v sociálnych sieťach, ako aj vo všetkých službách využívajúcich overovanie cez SMS správy. Nikdy totižto neviete, kedy bude vaše staré číslo „pridelené“ novému majiteľovi.